Windows 10/11を「パスワードレス」で運用する環境でのファイル共有

　Windowsのネットワークで新しく接続したマシンのアイコンをクリックして開こうとすると、何回もパスワードを聞かれることがある。しかも接続先マシンに存在するユーザー名とパスワードを入れても「パスワードやユーザー名が違う」と言われたりもする。ところが別のマシンからは、すんなりと同じユーザー名でアクセスができるのだ。ユーザー名とパスワードの間違いではないのである。筆者の環境であったこの件について今回調べた。

エクスプローラーのネットワークで、マシンを選んで開こうとすると、ネットワーク資格情報の入力ダイアログが表示され、正しいユーザー名、パスワードを入れても先に進めないことがある

　なお、ファイル共有やユーザー認証に関しては、ドメイン環境とワークグループ環境で大きく違う。ここでは、会社などで利用しているドメイン環境（Active Directory環境）は対象外とさせていただく。

原因の1つはMicrosoftアカウントのパスワードレス化

　Microsoftは、Windowsのパスワードレス化をWindows 10の頃から推進している。このパスワードレス化には、2つの意味があって、1つは「Microsoftアカウント」のパスワードレス化である。もう1つは、Windowsのパスワードレスログインだ。前者はFIDOを使い、アカウント自体をパスワードを使わないようにするもの。これはWindows 10 Ver.1809（RS5）で行なわれた。

　Windows 10 Ver.1903（19H1）では、Windows 10/11に実装されているWindows HelloがFIDO2に対応した。これにより、Windows 10からのMicrosoftアカウントへのログインに認証が不要になった。

　これに対して、パスワードレスログインとは、Windowsのログイン（サインインということもある）でパスワードによるログインを禁止し、Windows Helloによるログインのみにすることを指す。

　Windows Helloには4桁の数字を使うPINも含まれるため、指紋リーダーや顔認証カメラがないマシンでも対応は可能だ。Windows 10 Ver.2004（20H1）で、セーフモードのログインがWindows HelloのPINに対応したことで可能になった。「設定」→「アカウント」→「サインインオプション」にある「セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWindows Helloサインインのみを許可する」（Windows 11）、「MicrosoftアカウントにWindows Helloサインインを要求する」（Windows 10）をオンにすると、パスワードでのログインができなくなる。

　このあたりについては、以前の回の「Windows 10、パスワードなしの世界へ一歩前進」で解説した。

　ネットワーク共有では、「パスワード保護共有」がWindows 10でデフォルトで有効化されたため、最初にアクセスするときにユーザー名とパスワードを聞かれる。ただし、Windowsではネットワーク経由でパスワードを送信しないようになっているので、双方で同じ計算をして結果が一致すれば、アクセスが可能になる。この認証情報は記録され、次回以降のアクセスに使われるようだ。アクセスする側では、この情報はコントロールパネルの「資格情報マネージャー」で見ることができる。

　このため、過去にアクセスしたネットワーク共有に関しては、そのままアクセスが可能だ。筆者の環境で見る限り、どうもサーバー側でパスワードがなくなっても、過去に記録した認証情報が残ったままになっていれば、同じようにパスワードでアクセスが可能になるケースがあった。このため、同じMicrosoftアカウントなのにパスワードで認証できる共有とそうでない共有が混在するようだ。

　Microsoftアカウントがパスワードなしになり、Windows 11のように最初からスマートフォンのAuthenticatorアプリで認証して、パスワードなしログインが可能になると、パスワードはどこにも記録されていない形になる。そうなると、ネットワークアクセス時のユーザー名とパスワードでの認証自体が不可能になる。

考えられる対策は2つ　「パスワード保護共有」を止めるか ローカルアカウントを登録するか

　対策としては2つが考えられる。1つは、ネットワーク共有の「パスワード保護共有」を止めることだ。この方法は、ファイルをすべて見せてしまうように思えるが、実際には組み込みアカウントのGuest（デフォルトではパスワードなし）を使ってアクセスをするので、Guestアカウントに対してアクセス許可のあるディレクトリしかアクセスできない。

　設定は「設定」→「ネットワークとインターネット」→「ネットワークの詳細設定」→「共有の詳細設定」→「すべてのネットワーク」→「パスワード保護共有」でする。この項目を「オフ」にすることで、ネットワーク共有のアクセス時にユーザー認証をしなくなる。

パスワードなしで共有フォルダにアクセスできるようにするには、サーバー側で「パスワード保護共有」をオフにする方法がある

　この機能をオフにしても、初回のみ「ネットワーク資格情報の入力」ダイアログが表示されることがある。適当なユーザー名、パスワードを入れると先に進めるが、正しいユーザー名を入れてしまうとエラーになって先に進めないことがある。

　もう1つは、ネットワークアクセス用のローカルアカウントをサーバー側（共有を提供する側）に登録して、これを使ってアクセスする方法だ。新規のローカルアカウントは、「設定」→「アカウント」→「その他のユーザー」で作成できるが、コマンドラインから

net user ユーザー名 パスワード /ADD

で作成することも可能だ（要管理者権限）。

　Home以外であれば、グループポリシーツールの「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「ユーザー権利の割り当て」→「ローカルログオンを拒否」に、作成したローカルアカウントを登録すれば、少なくともロック画面には表示されなくなる。

　ローカルアカウントを使う方法でも、ディレクトリに対してアクセス許可が必要となるが、これはEveryoneでもかまわない。要は、共有ディレクトリがローカルアカウントでアクセス許可になっていればよい。

　どちらもアクセス許可をしなければならない点は同じだが、パスワード保護共有をオフにする方法では、アクセス許可を与えたディレクトリには、誰でもパスワードなしのGuestアカウントでアクセスができてしまう。また、Guestアカウントにパスワードを付けると、自動的に「パスワード保護共有」がオンになる。なので、パスワード保護共有をオフにしたとき、特定のユーザーのみにアクセスを制限することはできない。

　これに対して、ローカルアカウントを使う方法では、ローカルアカウントのパスワードを知っている場合のみアクセスが可能になる。ファイルアクセスを制御するという点では、ローカルアカウントを使う方法のほうがメリットがあるだろう。特に、外部に持ち出すようなノートPCでは後者の方法をオススメする。

　どちらの場合も、共有フォルダーのプロパティにある「共有」タブでアクセス許可を出すことができる。ここには、「ネットワークのファイルとフォルダーの共有」と「詳細な共有」の2つがあるが、基本的にはどちらも同じ結果になる。ただ、Guestの扱いが異なるらしく、それぞれでGuestに対するアクセス許可が異なった状態になってしまうことがある。「パスワード保護共有」をオフにする場合、共有をどちらでするか統一しておいたほうがいいだろう。

　Windows 10/11では、ユーザーや認証処理が大きく変化したが、ネットワークアクセスなど、関連機能の改良が後回しになったため、ときどき問題が起きることがある。過去には仮想マシンでパスワードなし認証を設定するとログインができなくなったこともあった。昔からワークグループ環境は置いてけぼり感がある。せっかく標準で有効にした「パスワード保護共有」なので、できれば、PINや生体認証などでも認証できるようにしてほしいところだ。